Mengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation

Saat Anda menggabungkan penyimpanan data acara, CloudTrail mendaftarkan peran federasi ARN dan penyimpanan data acara AWS Lake Formation, layanan yang bertanggung jawab untuk mengizinkan kontrol akses berbutir halus dari sumber daya federasi dalam Katalog Data. AWS Glue Bagian ini menjelaskan bagaimana Anda dapat menggunakan Lake Formation untuk mengelola sumber daya federasi CloudTrail Danau.

Saat Anda mengaktifkan federasi, CloudTrail buat sumber daya berikut di Katalog AWS Glue Data.

• Database terkelola - CloudTrail membuat 1 database dengan nama aws:cloudtrail per akun. CloudTrail mengelola database. Anda tidak dapat menghapus atau memodifikasi database di AWS Glue.

• Tabel federasi terkelola - CloudTrail membuat 1 tabel untuk setiap penyimpanan data acara federasi dan menggunakan ID penyimpanan data peristiwa untuk nama tabel. CloudTrail mengelola tabel. Anda tidak dapat menghapus atau memodifikasi tabel di AWS Glue. Untuk menghapus tabel, Anda harus menonaktifkan federasi pada penyimpanan data acara.

Mengontrol akses ke sumber daya federasi

Anda dapat menggunakan salah satu dari dua metode izin untuk mengontrol akses ke database dan tabel terkelola.

• Kontrol akses hanya IAM - Dengan kontrol akses hanya IAM, semua pengguna di akun dengan izin IAM yang diperlukan diberikan akses ke semua sumber daya Katalog Data. Untuk informasi tentang cara AWS Glue bekerja dengan IAM, lihat Cara AWS Glue bekerja dengan IAM.

  Pada konsol Lake Formation, metode ini muncul sebagai Gunakan hanya kontrol akses IAM.

  catatan

  Jika Anda ingin membuat filter data dan menggunakan fitur Lake Formation lainnya, Anda harus menggunakan kontrol akses Lake Formation.

• Kontrol akses Lake Formation — Metode ini memberikan keuntungan sebagai berikut.

  • Anda dapat menerapkan keamanan tingkat kolom, tingkat baris, dan tingkat sel dengan membuat filter data. Untuk informasi selengkapnya, lihat Mengamankan data lake dengan kontrol akses tingkat baris di Panduan Pengembang.AWS Lake Formation

  • Database dan tabel hanya dapat dilihat oleh administrator Lake Formation dan pencipta database dan sumber daya. Jika pengguna lain memerlukan akses ke sumber daya ini, Anda harus secara eksplisit memberikan akses dengan menggunakan izin Lake Formation.

Untuk informasi selengkapnya tentang kontrol akses, lihat Metode untuk kontrol akses berbutir halus.

Menentukan metode izin untuk sumber daya federasi

Saat Anda mengaktifkan federasi untuk pertama kalinya, CloudTrail buat database terkelola dan tabel federasi terkelola menggunakan pengaturan danau data Lake Formation Anda.

Setelah CloudTrail mengaktifkan federasi, Anda dapat memverifikasi metode izin yang Anda gunakan untuk database terkelola dan tabel federasi terkelola dengan memeriksa izin untuk sumber daya tersebut. Jika ALL (Super) ke IAM_ALLOWED_PRINCIPALS pengaturan hadir untuk sumber daya, sumber daya dikelola secara eksklusif oleh izin IAM. Jika pengaturan tidak ada, sumber daya dikelola oleh izin Lake Formation. Untuk informasi selengkapnya tentang izin Lake Formation, lihat referensi izin Lake Formation.

Metode izin untuk database terkelola dan tabel federasi terkelola dapat berbeda. Misalnya, jika Anda memeriksa nilai untuk database dan tabel, Anda bisa melihat yang berikut:

• Untuk database, nilai yang menetapkan ALL (Super) IAM_ALLOWED_PRINCIPALS hadir dalam izin yang menunjukkan bahwa Anda menggunakan kontrol akses IAM hanya untuk database.

• Untuk tabel, nilai yang menetapkan ALL (Super) untuk IAM_ALLOWED_PRINCIPALS tidak hadir, yang menunjukkan kontrol akses oleh izin Lake Formation.

Anda dapat beralih di antara metode akses kapan saja dengan menambahkan atau menghapus ALL (Super) ke IAM_ALLOWED_PRINCIPALS izin pada sumber daya federasi apa pun di Lake Formation.

Berbagi lintas akun menggunakan Lake Formation

Bagian ini menjelaskan cara membagikan database terkelola dan tabel federasi terkelola di seluruh akun dengan menggunakan Lake Formation.

Anda dapat membagikan database terkelola di seluruh akun dengan mengambil langkah-langkah berikut:

1. Perbarui versi berbagi data lintas akun ke versi 4.

2. Hapus Super ke IAM_ALLOWED_PRINCIPALS izin dari database jika ada untuk beralih ke kontrol akses Lake Formation.

3. Berikan Describe izin ke akun eksternal pada database.

4. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk informasi selengkapnya, lihat Menerima undangan berbagi sumber daya dari AWS RAM.

Setelah menyelesaikan langkah-langkah ini, database harus terlihat oleh akun eksternal. Secara default, berbagi database tidak memberikan akses ke tabel apa pun dalam database.

Anda dapat berbagi semua atau individu tabel federasi terkelola dengan akun eksternal dengan mengambil langkah-langkah berikut:

1. Perbarui versi berbagi data lintas akun ke versi 4.

2. Hapus Super ke IAM_ALLOWED_PRINCIPALS izin dari tabel jika ada untuk beralih ke kontrol akses Lake Formation.

3. (Opsional) Tentukan filter data apa pun untuk membatasi kolom atau baris.

4. Berikan Select izin ke akun eksternal di atas meja.

5. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk organisasi, Anda dapat menerima secara otomatis menggunakan pengaturan RAM. Untuk informasi selengkapnya, lihat Menerima undangan berbagi sumber daya dari AWS RAM.

6. Tabel sekarang harus terlihat. Untuk mengaktifkan kueri Amazon Athena pada tabel ini, buat tautan sumber daya di akun ini dengan tabel bersama.

Akun pemilik dapat mencabut berbagi kapan saja dengan menghapus izin untuk akun eksternal dari Lake Formation, atau dengan menonaktifkan federasi di. CloudTrail